Directiva NIS2: Lo que necesitas saber para proteger tu negocio ante las nuevas normativas

La Directiva NIS2, en vigor desde el 16 de enero de 2023, marca un hito en el esfuerzo de la Unión Europea por mejorar la seguridad cibernética en todos sus Estados miembros. Para muchas empresas tecnológicas, incluidas pequeñas y medianas, la NIS2 trae consigo una serie de cambios significativos que no solo afectan a los sectores esenciales de la economía formados por medianas y grandes empresas, sino también a aquellas compañías que forman parte de su cadena de suministro.

¿Qué es la Directiva NIS2?

La Directiva NIS2 (Directiva (UE) 2022/2555) es una actualización de la Directiva NIS original de 2016, y su objetivo es mejorar la resiliencia cibernética de las infraestructuras críticas en Europa. Esta nueva normativa responde a los cambios vertiginosos que ha experimentado el panorama digital, con un aumento tanto en la digitalización de las empresas como en la sofisticación de las amenazas cibernéticas.

A través de la NIS2, la Unión Europea busca armonizar los criterios de gestión de riesgos cibernéticos en todas las empresas, tanto públicas como privadas, estableciendo unos requisitos mínimos y obligando a las organizaciones a mejorar sus capacidades de respuesta a incidentes de ciberseguridad.

¿A quién afecta la NIS2?

Uno de los puntos clave de la NIS2 es que no solo se dirige a las grandes y medianas empresas de sectores críticos (banca, energía, transporte, salud, etc.), sino también a empresas medianas que, por su tamaño o actividad, son esenciales para el funcionamiento de la economía y la sociedad.

La directiva clasifica los sectores en dos grupos:

• Sectores esenciales o de alta criticidad: Energía, salud, transporte, banca, infraestructura digital, administración pública, entre otros.
• Sectores importantes o críticos: Proveedores digitales, gestión de residuos, investigación, alimentación, servicios postales, y más.

Además, la NIS2 no solo impacta a estas empresas directamente, sino que también afecta a las pequeñas y medianas empresas que forman parte de la cadena de suministro de estos sectores. Por ejemplo, si tu empresa ofrece servicios a una empresa de un sector crítico, tendrás que cumplir con ciertos estándares de ciberseguridad, ya que serás auditado para garantizar que tu nivel de protección es adecuado.

Cambios clave que introduce la Directiva NIS2

La Directiva NIS2 introduce varios requisitos y cambios que todas las empresas, independientemente de su tamaño, deben conocer. A continuación, destacamos los más relevantes:

• Requisitos mínimos de ciberseguridad: Todas las empresas afectadas deberán establecer medidas básicas de protección como la autenticación multifactor (MFA), control de acceso limitado y políticas de ciberhigiene para formar a los empleados en buenas prácticas de ciberseguridad.
• Obligatoriedad de notificación de incidentes: Si tu empresa sufre un ciberataque, será obligatorio notificarlo a las autoridades competentes en un plazo específico.
• Seguridad en la cadena de suministro: Las empresas deberán garantizar que tanto ellas como sus proveedores directos cuenten con medidas de ciberseguridad adecuadas. Esto incluirá políticas de backup y recuperación en caso de desastres, así como evaluaciones periódicas de riesgos.
• Proporcionalidad y gobernanza: Las medidas exigidas se implementarán bajo el principio de proporcionalidad, es decir, que se adaptarán según el tamaño y las características de la empresa, asegurando que las pymes no enfrenten la misma carga que una gran corporación, pero sin dejar de cumplir con los requisitos esenciales.

Qué implica para las pymes?

Uno de los mitos que la NIS2 viene a derribar es que la ciberseguridad solo es una preocupación de grandes empresas. Con la digitalización extendida y el aumento de la conectividad, las pymes también son objetivos de ataques cibernéticos. De hecho, muchas de estas empresas están integradas en cadenas de valor más amplias, y las grandes corporaciones, para cumplir con la directiva, exigirán a sus proveedores cumplir con medidas de ciberseguridad específicas.

Esto significa que las pymes deben estar preparadas para:

• Auditorías de seguridad que certifiquen que cumplen con las normativas exigidas.
• Mejorar sus medidas de seguridad cibernética para proteger sus redes, sistemas y datos.
• Implementar protocolos de notificación en caso de incidentes.

¿Por qué las pymes deben prepararse ya?

Si bien la entrada en vigor obligatoria de la directiva será a partir del 18 de octubre de 2024, las empresas ya deben comenzar a preparar sus sistemas y políticas de ciberseguridad. Desde el 17 de abril de 2025, el Estado español deberá proporcionar un listado con las empresas esenciales y otras afectadas, lo que incluye a muchas pymes.

Las empresas que formen parte de la cadena de suministro de sectores críticos también deberán demostrar cumplimiento. Aquellas que aún no lo hayan hecho, pueden empezar por obtener certificaciones como la ISO 27001, que les ayudará a asegurar que cumplen con los estándares de seguridad de la NIS2.

¿Cómo podemos ayudarte desde Pista Cero?

En Pista Cero, somos especialistas en soluciones de ciberseguridad y digitalización. Podemos ayudarte a evaluar el estado de seguridad de tu empresa y a implementar las medidas necesarias para cumplir con la Directiva NIS2. Entre nuestros servicios destacan:

• Auditorías de seguridad para asegurar que cumples con las normativas.

• Implementación de sistemas de backup y recuperación de desastres.

• Soluciones de ciberseguridad como sistemas de autenticación multifactor y control de acceso.

• Asesoramiento en la adopción de certificaciones como ISO 27001.